Trojaner-Board - Ich glaub ich hab nen wurm! LSA-Shell (lsass.exe musste beendet werden)

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Ich glaub ich hab nen wurm! LSA-Shell (lsass.exe musste beendet werden) (https://www.trojaner-board.de/40103-glaub-hab-nen-wurm-lsa-shell-lsass-exe-musste-beendet.html)

Ich glaub ich hab nen wurm! LSA-Shell (lsass.exe musste beendet werden)

Hallo,

bin neu hier und hab ein problem:

ich glaub ich hab mir nen wurm eingefangen! Ich weis aber nicht welchen. Jedenfalls kommt es vor (wenn ich ne zeit lang im internet bin), dass LSA-Shell (Export Version) beendet werden muss. Kurz darauf folgt dann meistens noch die meldung, dass "services.exe" beendet werden musste. Einmal kam es auch vor, dass "LEXPPS.exe" oder andere prozesse (wie z.b. "Generic Host Process for Win32 Services"), die bis vor einigen tagen noch keine probleme gemacht haben, beendet werden müssen.

Nunja darauf folgt dann das bekannte schild mit dem zwang zum herunterfahren und dem countdown von 1:00 min.

Hab mir schon ein paar threats zu dem thema durchgelesen, die waren jedoch meistens zu sasser und von 2004...

bitte helft mir ich will auf keinen fall datenverlust erleiden

mfg samsh

PS: ich habe WinXP mit SP2

************************

Logfile of HijackThis v1.99.1
Scan saved at 18:59:57, on 18.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\TBPanel.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\SEC\MagicTune3.6\GammaTray.exe
C:\Programme\VIA\RAID\raid_tool.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Programme\T-Online\T-Online_Software_6\Browser\browser.exe
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\kernel.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\sc_watch.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\***\Desktop\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Give4Free Plugin Installer - {208E7E77-507A-4649-B0C9-D39E9049C7A2} - C:\Programme\Give4Free Plugin\ibho.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Windows Services] "C:\Programme\svchosts.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Color Calibration.lnk = ?
O4 - Global Startup: MagicTune 3.6.lnk = ?
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programme\VIA\RAID\raid_tool.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - h**p://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - h**p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{16C26E45-615C-4963-9E93-A4201E82EF07}: NameServer = 192.168.2.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{16C26E45-615C-4963-9E93-A4201E82EF07}: NameServer = 192.168.2.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs:
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\ccPwdSvc.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Norton Internet Security\comHost.exe
O23 - Service: Symantec Licensing Detect Internet Connection (DJSNETCN) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~2.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

Hallo samsh,

lade bitte die fettgedruckten Dateien bei VirusTotal hoch und poste das Scanergebnis inkl. Dateigröße:

C:\Programme\Give4Free Plugin\ibho.dll

C:\Programme\svchosts.exe

Link zu VirusTotal:

VIRUSTOTAL - Free Online Virus and Malware Scan

Gruß

Danke erstmal für die schnelle Hilfe. =)

also der scan hat folgendes ergeben:

bei "svhosts.tbe" (ka warum das keine .exe is)

Authentium 4.93.8 06.16.2007 Not scanned (encrypted)
Fortinet 2.85.0.0 06.18.2007 W32/Peerad.A!tr
Microsoft 1.2607 06.18.2007 password protected
NOD32v2 2336 06.18.2007 error - password-protected file

denke mal da is ein wurm gefunden worden oder? Soll ich den jetzt einfach löschen?

Der Prozess "svchosts.exe" taucht bei mir im Taskmanager 7 mal (!) auf

bei "ibho.dll"

http://img515.imageshack.us/img515/5762/scanch8.th.jpg

mfg samsh

edit: hab in C:\Programme noch mehr verdächtige dateien gefunden:

wunauclt.exe
wunauclt.tbe
wunauclt.zip
serial.tde
serial.zip

hab mal nach denen gegoogelt da kam nur was über trojaner/viren/backdoor/etc

ich check die grad mal in VirusTotal durch das dauert nur wegen der warteschlange so....

So ich hab jetzt die anderen dateien auch durchgecheckt:

serial.tde

Authentium 4.93.8 06.18.2007 Not scanned (encrypted)
Avast 4.7.997.0 06.18.2007 Win32:Peerad
Fortinet 2.85.0.0 06.18.2007 W32/Small.DUI!tr.dldr

wunauclt.exe

AntiVir 7.4.0.32 06.18.2007 DR/Padonak.A
Avast 4.7.997.0 06.18.2007 Win32:Trojan-gen. {VC}

serial.zip

Authentium 4.93.8 06.18.2007 Not scanned (encrypted)
Avast 4.7.997.0 06.18.2007 Win32:Peerad
Fortinet 2.85.0.0 06.18.2007 W32/Small.DUI!tr.dldr
Microsoft 1.2607 06.18.2007 password protected
NOD32v2 2336 06.18.2007 error - password-protected file

ach ja und eine neue auswirkung hab ich auch: jetz bekomm ich einmal pro stunde nen bluscreen:

****************************

stop: c0000 21a {schwerer Systemfehler}

Systemprozess Windows Logon Process wurde unerwartet beendet. Status 0x0000005
(0x00000000 0x00000000)

Das System wurde heruntergefahren.

****************************

dann kommt nach dem neustart per knopfdruck die meldung, dass winlogon.exe beendet werden musste (die zeit bezieht sich dabei glaub ich auf die zeit zu der der bluescreen kam).

Hallo,
ich hege die sehr starke Vermutung das es sich um diesen Freund handelt :

W32/Sdbot-LM - Wurm - Sophos Bedrohungsanalyse
Unter "Erläuterung" weiterlesen
Damit sieht es sehr duster aus ....
Ein Neuaufsetzen wäre mehr als zwingend angebracht.....
Irrlicht

mit neuaufsetzen meinst du doch eine neuinstallation von Windows oder?

gibts nich ne andere möglichkeit? zumal ich die unter "Erläuterung" beschriebenen Registryeinträge nicht habe!

Zitat:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Microsoft Synchronization Manager = svchosts.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
Microsoft Synchronization Manager = svchosts.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
Microsoft Synchronization Manager = svchosts.exe

ich hab da nur einen eintrag mit svchost.exe unter HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ :

Windows Services REG_SZ "C:\Programme\svchosts.exe"

und

Zitat:

Jeder Benutzer hat einen Registrierungsbereich namens HKEY_USERS\[Codeziffer des Benutzers]\. Suchen Sie für jeden Benutzer den Eintrag:

HKCU\[Codeziffer]\Software\Microsoft\Windows\CurrentVersion\Run\
Microsoft Synchronization Manager = svchosts.exe

der eintrag ist bei mir auch nicht vorhanden!

Zitat:

W32/Sdbot-LM kopiert sich als SVCHOSTS.EXE in den Windows-Systemordner

die "wurmdatei" ist bei mir aber in C:\Programme
die svchosts.exe in WINDOWS\System32 scheint laut VirusTotal in Ordnung zu sein (nehme mal an, dass das die originale .exe is)

Zitat:

Dieser Wurm speichert außerdem Tastenfolgen des Anwenders in einer Datei namens KEYLOG.TXT im Windows-Systemordner

die is bei mir auch nicht vorhanden.

was genau soll ich denn nun machen? die verdächtige svchosts.exe (oder wie sie bei mir heist svchosts.tbe) mit den anderen eintlarvten dateien einfach löschen und den registryeintrag entfernen?

konnte meinen beitrag irgendwie nicht mehr editieren...

also ich wollte nochmal ne Frage anhängen:

wie kommt es, dass der Prozess (bzw "die" Prozesse) alle svchost.exe heißen, die gefundene .exe aber svchosts.exe (oder eben svchosts.tbe) ? DIe .exe in System32 heist jedenfalls svchost.exe...

Ps: wenns nur ne neuinstallation von windows wird dann kann ich das machen aber die festplatte formatieren wäre nicht gut da ich meine daten momentan noch nicht sichern kann (hab noch keine 2. festplatte)

is das normal, dass man hier seine beiträge nach ner weile nicht mehr editieren kann? ich kanns jedenfalls nicht ^^

mir nämlich nochwas aufgefallen:

also die .exe in system 32 heißt ja svchost.exe ohne das zusätzliche "s"...
die 7 prozesse die ich immer hab heißen alle svchost.exe (also auch ohne das "s")

anscheinend heißt nur die virus/wurm-datei svchosts.exe und befindet sich eben in C:\Programme...

hoffe auf weitere hilfe von euch...

mfg samsh

Hallo,
die "svchost" exe ist ein regulärer Systemdienst.Das bei dir angehängte "S" oder jede andere Buchstabe will genau dieses vortäuschen.
Kein Spielehersteller oder sonstige Programme würden eine Datei so nennen.Eben wegen der Nähe zu einer Systemdatei....
So ist eigentlich von einer "bösen Datei" auszugehen.
Hast du mal versucht diese Datei über die Suchfunktion zu finden `?
Hast du die dann bei "Jotti" oder "Virustotal" mal hochgeladen ?
Eine Datei habe ich gesehen,die du hochgeladen hast,diese hatte einen Passwortschutz.Stammt dieses Passwort von dir ?
Irrlicht

welche datei meinst du jetzt? die mit oder die ohne dem "s"?

die mit dem "s" is ja in C:\Programme und die hab ich ja bei VirusTotal gescannt. (der passwortschutz is nicht von mir)

die ohne das "s" is ja in System32 und die is laut VirusTotal in Ordnung.

ich glaube außerdem, dass es sich bei meinem Problem nicht unbedingt um diese svchosts.exe handelt (hab die und den Registryeintrag Windows Services REG_SZ "C:\Programme\svchosts.exe" mal gelöscht. Hat aber nichts gebracht. Außerdem hab ich auf der Seite hier folgenmdes entdeckt http://www.trojaner-board.de/40136-w...ngefangen.html

das hört sich genau so an wie es bei mir is. Ich hab dann einfach mal den dort beschriebenen eScan durchgeführt (http://www.trojaner-board.de/38066-e...ightymarc.html)

jedoch hatte ich ein problem ab dem 9. Punkt:

Zitat:

9. Die Auswertedatei find.zip (siehe Punkt 1) entpacken und die dadurch erhaltene Datei find.bat durch Doppelklick starten.
10. Den Inhalt des erscheinenden Fensters kopieren und im Forum posten.

wenn ich diese find.bat ausgeführt habe kam im neuen fenster nur die fehlermeldung:

copyingmwav.log ...
Error: Zugriff verweigert

könnte das daran leigen, dass diese .log 16mb groß ist? jedenfalls is sie zu lang und unübersichtlich, als dass man sie nutzen kann...

edit: habs mit nochmal im abgesichterten modus mit dem Administrator probiert und dann das rausbekommen:

Zitat:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.2.7
Sprache: German
C:\DOKUME~1\ADMINI~1.JAY\LOKALE~1\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Batchstart: 14:51:29,32
Batchende: 14:51:30,70

da steht ein bissche zu wenig drin. Von den ca. 40 gefunden "viren" steh hier gar nichts...

ich kann den scan ja nochmal wiederhohlen aber ich muss wissen wie dann ne bessere auswertung bekomme...

Ps:
Jedenfalls hat das Programm sehr viele sachen gefunden - unter anderem eben auch diesen wurm: w32.rontokbro.d@mm - der taucht bei dem threat http://www.trojaner-board.de/40136-w...ngefangen.html auch auf. Könnte das mein hauptproblem sein? neben den ganzen anderen sachen die gefunden wurden...:(
und nochwas: wie entferne ich die ganzen dinger ohne zu formatieren? irgendein gutes programm?

SO,

ich denke ich hab den wurm oder was auch immer zumindest vorrübergehend ausgeschaltet (ich weis nich ob ich alles von ihm erwischt hab ^^)

ich hab mit filelist geguckt was an dem tag ab dem das problem kam alles so passiert war und bin fündig geworden:

eine datei namens "y8V3ADNQ.exe" hat sich in meinem system32 ordner eingenistet. hab sie überprüft und prompt was gefunden. Außerdem hab ich entdeckt, dass am gleichen Tag im ordner WINDOWS\Tasks mehrere tasks erstellt wurden die alle eine datei namens "y8V3ADNQ.exe" (aha!) jeden Tag zu jeder stunde aufrufen. Ich hab also "y8V3ADNQ.exe" und diese tasks gelöscht und hab nun erstmal ruhe!

Ich werde aber trotzdem ein Neuaufsetzen machen sobald meine externe festplatte da is. Ich hab nämlich vor die wichtigsten sachen dort vorher zu sichern. Und dazu hab ich meine wohl letzte Frage für diesen Threat:

Könnten dateien wie musik, videos, Spieleordner, Bilder oder Setupdateien (von seriösen Programmen wie z.b. Spielepatches) infiziert sein und die jetzt noch vorhanden Viren, Addware, Spyware oder Würmer übertragen?

mfg samsh